Здесь можно найти учебные материалы, которые помогут вам в написании курсовых работ, дипломов, контрольных работ и рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Работа № 110950


Наименование:


Курсовик Формирование организационных и технических мер защиты персональных данных менее 100 000 тыс. субъектов в банке с двумя филиалами в области с учетом угроз третьего типа

Информация:

Тип работы: Курсовик. Добавлен: 9.1.2018. Сдан: 2016. Страниц: 204. Уникальность по antiplagiat.ru: < 30%

Описание (план):


СОДЕРЖАНИЕ
Введение 8
1 Идентификация информационной системы банка 9
1.1 Идентификация целей и задач деятельности банка 9
1.2 Идентификация информационных процессов, с помощью которых реализуются задачи деятельности организации 11
1.3 Разработка структуры ИС организации и идентификация технических средств обработки информации 16
1.4 Идентификация целей и задач деятельности организации 18
2 Выявление и описание информационных систем ПДн в организации 19
2.1 Определение условий создания и использования ПДн 19
2.2 Разработка матрицы доступа к ПДн 23
3 Разработка модели угроз ПДн организации 26
4 Определение уровня защищённости ИСПДн организации 104
5 Определение организационных и организационно - технических требований к обеспечению уровней защищённости ПДн в ИСПДн организации 109
6 Разработка документов организации по обеспечению безопасности ПДн при их обработке в ИСПДн 123
Заключение 124
Список используемых источников 125

В настоящем отчете применяют следующие термины с соответствующими определениями:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). [1]
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. [1]
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. [1]
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. [1]
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. [1]
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). [1]
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. [1]
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. [1]
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. [1]


ВВЕДЕНИЕ

В наше время очень высока необходимость обеспечения безопасности персональных данных. Информация о человеке бывает очень ценной.
Именно поэтому персональные данные нуждаются в самой серьезной защите. Необходимость принятия мер по защите персональных данных (далее ПДн) вызвана также возросшими техническими возможностями по копированию и распространению информации. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях. С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.
Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации.
Мероприятия по обеспечению безопасности персональных данных сочетают в себе реализацию правовых, организационных и технических мер.
Таким образом, целью курсовой работы является разработка организационно-распорядительных документов по обработке персональных данных в информационных системах персональных данных в отделении банка.


1 Идентификация информационной системы банка
1.1 Идентификация целей и задач деятельности банка
Целью банка является получение прибыли от проведения операций с финансовыми активами физических и юридических лиц.
Задачами банка при достижении данной цели являются:
- создание записи в БД о новом клиенте;
- создание записи в БД о новом работнике;
- выдача кредита клиентам.
ИС, реализующие функции организации, потребляют некоторую входную информацию, накапливают, хранят, обрабатывают ее, и выдают результаты обработки в виде некоторой выходной информации. Это указывает на то, что они являются информационными процессами со всеми их признаками, т.е. могут быть описаны по схеме, представленной на рисунке 1 и характерной для процессного подхода.
Таким образом, важнейшие информационные процессы ИС рассматриваемой организации представлены на рисунках 2 - 4.




Рисунок 1 - «Упрощенная схема информационного процесса обработки информации»


Рисунок 2 - «Упрощенная схема информационного процесса обработки информации «Создание записи в БД о новом клиенте»


Рисунок 3 - «Упрощенная схема информационного процесса обработки информации «Создание записи в БД о новом работнике»


Рисунок 4 - «Упрощенная схема информационного процесса обработки информации «Выдача кредита клиентам»
1.2 Идентификация информационных процессов, с помощью которых реализуются задачи деятельности организации
В таблице 1 представлена идентификация входной информации процессов, приведённых на рисунках 2 - 4.
Таблица 1 - Идентификация входной информации процессов
Процесс «Создание записи в БД о новом клиенте» Процесс «Создание записи в БД о новом работнике» Процесс «Выдача кредита клиентам»
Откуда исходит информация От клиента От работника От клиентов, из БД клиентов
Как поступает информация В бумажном виде В бумажном виде В бумажном виде и по внутренней и внешней сетям банка
На каком носителе поступает информация Бумажный вид Бумажный вид Электронный и бумажный вид
Кто конкретно отправляет и кто конкретно получает информацию Информацию на сервера отправляет оператор АРМ отдела работы с клиентами, на стороне серверов происходит автоматическое принятие и обработка информации с дальнейшим её сохранением Информацию на сервера отправляет оператор АРМ отдела кадров, на стороне серверов происходит автоматическое принятие и обработка информации с дальнейшим её сохранением По запросу оператора АРМ кредитного отдела сервера предоставляют хранимую информацию, после её обработки оператор АРМ кредитного отдела отправляет информацию о клиенте на сервера


После того, как информация идентифицирована, описана ее фактическая обработка. Это сделано с помощью перечисления основных этапов обработки и может включать описание аспектов, приведённых в таблице 2.

Таблица 2 - Фактическая обработка информации
Процесс «Создание записи в БД о новом клиенте» Процесс «Создание записи в БД о новом работнике» Процесс «Выдача кредита клиентам»
Как осуществляется доступ к информации в ИС и каковы цели и пути ее перемещения в ИС Доступ к информации нового клиента осуществляется физически, так как носитель бумажный. Доступ к БД клиентов, хранящихся на серверах, осуществляется оператором АРМ отдела работы с клиентами с помощью внутренней сети банка. Целью данного процесса является создание записи в БД клиентов. Доступ к информации нового работника банка осуществляется физически, так как носитель бумажный. Доступ к БД работников, хранящихся на серверах, осуществляется оператором АРМ отдела кадров с помощью внутренней сети банка. Целью данного процесса является создание записи в БД работников. Доступ к информации клиента, хранимой в БД банка, осуществляется с помощью АРМ оператора кредитного отдела. По внутренней и внешней сети банка. Целью данного процесса является изменение записи в БД клиентов.
Все лица, имеющие доступ, или те, кто может получить доступ к информации в ИС Оператор АРМ отдела работы с клиентами Оператор АРМ отдела кадров Оператор АРМ кредитного отдела
Технологические процессы обработки информации Преобразование ПДн клиента из бумажного вида в электронный вид. Преобразование ПДн работника из бумажного вида в электронный вид. Изменение ПДн клиента в электронном виде.
Используемые программные приложения My SQL My SQL My SQL
Где именно в ИС выполняется обработка данной информации Обработка информации выполняется на АРМ оператора отдела работы с клиентами Обработка информации выполняется на АРМ оператора отдела кадров Обработка информации выполняется на АРМ оператора кредитного отдела
Какие дополнения, модификации и удаления сделаны применительно к входной информации данным процессом Создана новая запись в БД клиентов Создана новая запись в БД работников Внесены поправки и дополнения в запись в БД клиентов
Как сделаны дополнения, модификации и удаления, а также, кто их сделал Запись создана оператором АРМ отдела работы с клиентами на своём рабочем месте Запись создана оператором АРМ отдела кадров на своём рабочем месте Запись изменена оператором АРМ кредитного отдела на своём рабочем месте
Какая информация и как именно раскрывается при реализации процесса и кому ПДн (общедоступные и специальные) раскрываются оператору АРМ отдела работы с клиентами в бумажном виде. ПДн (общедоступные и специальные) раскрываются оператору АРМ отдела кадров в бумажном виде ПДн (общедоступные и специальные) раскрываются оператору АРМ кредитного отдела в бумажном и электронном виде.


Заключительный этап в описании процессов - описание результатов обработки, приведённое в таблице 3.

Таблица 3 - Описание результатов обработки
Процесс «Создание записи в БД о новом клиенте» Процесс «Создание записи в БД о новом работнике» Процесс «Выдача кредита клиентам»
Какой информация выходит после обработки Записи в электронных БД Записи в электронных БД Записи в электронных БД
Где и как обработанная информация распространяется, хранится и/или уничтожается Обработанная информация хранится в электронном виде на серверах банка, распространяется по запросу в зашифрованном виде по сети Internet между филиалами банка и центробанком, уничтожается по требованию клиента, в противном случае хранится в архивных файлах сервера. Обработанная информация хранится в электронном виде на серверах банка, распространяется по запросу в зашифрованном виде по сети Internet между филиалами банка и центробанком, уничтожается по требованию работника (при условии окончании его деятельности в данной организации), в противном случае хранится в архивных файлах сервера. Обработанная информация хранится в электронном виде на серверах банка, распространяется по запросу в зашифрованном виде по сети Internet между филиалами банка и центробанком, уничтожается по требованию клиента, в противном случае хранится в архивных файлах сервера
Кто отправляет и кто получает обработанную информацию Обработанная информация отсылается оператором АРМ отдела работы с клиентами на сервера. Обработанная информация отсылается оператором АРМ отдела кадров на сервера. Отправка информации производится серверами по запросу оператора АРМ кредитного отдела. Обработанная информация отсылается оператором АРМ кредитного отдела на сервера.
Какая среда или аппаратура используется для выдачи информации Для выдачи информации с серверов на АРМ оператора отдела работы с клиентами используется проводное соединение к локальной сети банка и сети Internet Для выдачи информации с серверов на АРМ оператора отдела кадров используется проводное соединение к локальной сети банка и сети Internet Для выдачи информации с серверов на АРМ оператора кредитного отдела используется проводное соединение к локальной сети банка и сети Internet
1.3 Разработка структуры ИС организации и идентификация технических средств обработки информации
Технические средства ИС, используемые в рассматриваемой организации:
Сервера БД для хранения ПДн клиентов и работников имеют жесткие диски SSD, объём каждого 1 Тб.
Все сервера расположены в пределах КЗ. Взаимодействие с серверами внешней ИС происходит по сети Internet с предварительным шифрованием передаваемых данных согласно ГОСТ 28147-89. Для контроля доступа внешних устройств применяется ПАК «Соболь». База данных администрируется с использованием EMS SQL server. Антивирусная защита: Антивирус Касперского. Программа шифрования и передачи данных, разработанная и сертифицированная специально для рассматриваемой организации.
АРМ операторов состоят из ноутбука и принтера. ПО, используемое на АРМ: ПАК «Соболь», Windows 10 Enterprise, SQL database workshop, Microsoft Office 2013. Антивирусная защита: Антивирус Касперского. Программа шифрования и передачи данных, разработанная и сертифицированная специально для рассматриваемой организации.
АРМ администратора ИБ - ноутбук. ПО, используемое на АРМ: ПАК «Соболь» (версия администратора ИБ), Windows 10 Enterprise. Антивирусная защита: Антивирус Касперского.
АРМ администратора БД - ноутбук. ПО, используемое на АРМ: ПАК «Соболь» (версия клиента), Windows 10 Enterprise, EMS SQL server. Антивирусная защита: Антивирус Касперского. Программа шифрования и передачи данных, разработанная и сертифицированная специально для рассматриваемой организации.
Для передачи ПДн клиентов используются стандартные сетевые протоколы передачи данных в сети Internet, однако информация, содержащаяся в пакетах передачи зашифрована согласно ГОСТ 28147-89.
Каналы внутренней и внешней сетей организации имеют модемное проводное подключение.
Информационные потоки, циркулирующие в ИС во внутренней и внешней сетях филиалов банка:
- АРМ оператора (запрос) - Сервер БД (реестр) (ИП №1);
- АРМ администратора (управляющие команды) - Сервер БД (отчёт) (ИП №2);
- Сервер БД (реестр) - Сервер БД (реестр) (ИП №3);
- АРМ администратора (запрос) - АРМ администратора (отчёт) (ИП №4);
- АРМ оператора (запрос) - АРМ оператора (отчёт) (ИП №5).
Результатом выполнения данного раздела является схема ИС организации, приведённая на рисунке 5.






































1
1 1 2
5 4
4
5 2 1 3
3


Рисунок 5 - «Схема ИС организации и схема информационных потоков в ИС организации»

1.4 Разработка схемы информационных потоков в ИС организации
На рисунке 5 цифрой «1» обозначен информационный поток №1, цифрой «2» обозначен информационный поток №2, цифрой «3» обозначен информационный поток №3, цифрой «4» обозначен информационный поток №4, цифрой «5» обозначен информационный поток №5.

2. Выявление и описание информационных систем ПДн в организации
2.1 Определение условий создания и использования ПДн
В процессе выполнения данного пункта, пользуясь разработанными на предыдущем этапе описаниями информационных процессов, описаны условия создания и использования ПДн. Результаты выполнения данного пункта приведены в таблице 4.
Таблица 4 - Перечень обрабатываемых в организации ПДн
Содержание ПДн Цели обработки ПДн Основание для обработки ПДн Сроки обработки и хранения ПДн, основания для прекращения обработки ПДн Категория ПДн Вид обработки (с использованием средств автоматизации, без использования средств автоматизации, смешанная)
Обработка ПДн сотрудников организации при устройстве на работу
ФИО Паспортные данные (серия/номер/дата/кем выдан) Пол Дата рождения Место рождения Адрес проживания (прописки) Состояние в браке Состав семьи ИНН Номер страхового свидетельства ПФР Номер ИПС Уровень образования Номер диплома Специальность по диплому Квалификация пдиплому Данные о повышении квалификации Общий трудовой стаж Должность работника Структурное подразделение Ведение кадрового делопроизводства Начисление заработной платы Периодическая проверка работников на состав правонарушений Трудовые отношения между работником и работодателем. Трудовой договор с работником. Документы о работнике хранятся 75 лет в соответствии со ст. 22 ФЗ «Об архивном деле в РФ». Сведения о руководящем составе организации, работниках, имеющих государственные награды или иные звания и награды, хранятся 75 лет. Подлинные личные документы (трудовые книжки, дипломы, удостоверения и т.п.) хранятся до востребования (не востребованные - не менее 50 лет). Основание для прекращения обработки - увольнение работника Общедоступные ПДн: ФИО Пол Должность работника Структурное подразделение Биометрические ПДн: - Специальные ПДн: - Иные ПДн: Паспортные данные ИНН Номер страхового свидетельства ПФР Номер ИПС Уровень образования Номер диплома Специальность по диплому Квалификация Данные о повышении квалификации Общий трудовой стаж Дата рождения Место рождения Адрес проживания (прописки) Состояние в браке Состав семьи Смешанная
Содержание ПДн Цели обработки ПДн Основание для обработки ПДн Сроки обработки и хранения ПДн, основания для прекращения обработки ПДн Категория ПДн Вид обработки (с использованием средств автоматизации, без использования средств автоматизации, смешанная)
Обработка ПДн в организации при регистрации нового клиента
ФИО Паспортные данные (серия/номер/дата/кем выдан) Пол Дата рождения (число/месяц/год) Место рождения Адрес проживания (прописки) Состояние в браке Состав семьи Место работы Должность работника Ведение учёта клиентов Предоставление банковских услуг Периодическая проверка кредитоспособности клиента Оповещение о проводимых акциях и нововведениях Коммерческие отношения между банком и клиентом. Договор между банком и клиентом. Документы о клиенте хранятся 75 лет в соответствии со ст. 22 ФЗ «Об архивном деле в РФ». Основание для прекращения обработки - прекращение коммерческих отношений с клиентом Общедоступные ПДн: ФИО Пол Биометрические ПДн: - Специальные ПДн: - Иные ПДн: Паспортные данные (серия/номер/дата/кем выдан) Дата рождения (число/месяц/год) Место рождения Адрес проживания (прописки) Состояние в браке Состав семьи Место работы Должность работника Смешанная
Содержание ПДн Цели обработки ПДн Основание для обработки ПДн Сроки обработки и хранения ПДн, основания для прекращения обработки ПДн Категория ПДн Вид обработки (с использованием средств автоматизации, без использования средств автоматизации, смешанная)
Обработка ПДн клиентов в организации при получении кредита
ФИО Паспортные данные (серия/номер/дата/кем выдан) Пол Адрес проживания (прописки) Состояние в браке Состав семьи Место работы Должность работника Ведение учёта клиентов Периодическая проверка кредитоспособности клиента Коммерческие отношения между банком и клиентом. Договор между банком и клиентом. Документы о клиенте хранятся 75 лет в соответствии со ст. 22 ФЗ «Об архивном деле в РФ». Основание для прекращения обработки - прекращение коммерческих отношений с клиентом Общедоступные ПДн: ФИО Пол Биометрические ПДн: - Специальные ПДн: - Иные ПДн: Паспортные данные (серия/номер/дата/кем выдан) Адрес проживания (прописки) Состояние в браке Состав семьи Место работы Должность работника Смешанная
2.2 Разработка матрицы доступа к ПДн
На данном этапе составлена матрица доступа, отражающая в табличной форме права всех групп пользователей ПДн на действия с ПДн. Действия (операции) с персональными данными, включают сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных).
Таблица 5 - Матрица доступа к ПДн
Группа Уровень доступа к ПДн Разрешенные действия Сотрудники
Администратор БД с ПДн, обрабатываемыми в ИСПДн в организации Обладает необходимой для настройки информацией о системном и прикладном программном обеспечении ИСПДн для развёртывания БД. Обладает необходимой для настройки информацией о технических средствах и конфигурации ИСПДн под используемую БД. Имеет доступ к техническим средствам обработки информации и данным ИСПДн, задействованным при функционировании БД. Обладает правами конфигурирования и административной настройки технических средств ИСПДн, необходимых для корректной работы БД. Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных), отвечающих за БД. - сбор - систематизация - накопление - хранение - уточнение - использование Административный отдел Фоломеев А.П.
Группа Уровень доступа к ПДн Разрешенные действия Сотрудники
Администратор ИБ организации Обладает правами Администратора продуктов, обеспечивающих ИБ ИСПДн и части системного ПО ИСПДн, обеспечивающую ИБ ИСПДн. Обладает информацией о настройке системы ИБ ИСПДн. Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн. Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных), отвечающих за ИБ. - сбор - систематизация - накопление - хранение - уточнение - использование Административный отдел Мартяшин А.А.
Операторы ИСПДн с правами записи (операторы филиала, в котором развёрнута рассматриваемая ИСПДн) Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн, обрабатываемым в ИСПДн. - сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение Операторы работы с клиентами, кредитного отдела и отдела кадров.
Операторы ИСПДн с правами чтения (операторы другого филиала) Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн, обрабатываемым в ИСПДн. - сбор - накопление - использование - хранение - уточнение Операторы работы с клиентами, кредитного отдела и отдела кадров.
Доступ к ПДн работникам (операторам различных отделов) банка предоставляется на основании приказа о принятии на работу. Прекращение доступа к ПДн происходит на основании приказа об увольнении.
Предоставление доступа администраторам ИБ и БД происходит после подтверждения их полномочий по приказу о принятии на работу с утверждением в центральном отделении банка. Прекращение доступа к ПДн происходит на основании приказа об увольнении.
При принятии на работу, в течении выполнения работниками трудовых обязанностей (раз в полгода), а также по окончанию выполнения работы (увольнении) работники оповещаются об ответственности за разглашение ПДн других работников и клиентов банка, а также любой информации о функционировании, администрировании или устройстве ИСПДн или используемом в ней ПО. Данные оповещения производятся с письменной распиской работников.

3 Разработка модели угроз ПДн организации
На третьей стадии курсовой работы проведена идентификация наиболее актуальных для ПДн организации угроз и разработана частная модель угроз.
В соответствии с методическим документом ФСТЭК «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн» при обработке персональных данных в ИСПДн выделены следующие угрозы:
Угрозы от утечки по техническим каналам:
- угрозы утечки акустической информации;
- угрозы утечки видовой информации;
- угрозы утечки информации по каналам ПЭМИН;
Угрозы несанкционированного доступа к информации:
- угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн:
- кража носителей информации;
- кража ключей и атрибутов доступа;
- кражи, модификации, уничтожения информации;
- несанкционированное отключение средств защиты;
- угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий):
- действия вредоносных программ (вирусов);
- угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера:
- утрата ключей и атрибутов доступа;
- непреднамеренная модификация (уничтожение) информации сотрудниками;
- выход из строя аппаратно-программных средств;
- сбой системы электроснабжения;
- стихийное бедствие;
- угрозы преднамеренных действий внутренних нарушителей:
- доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке;
- разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке;
Угрозы несанкционированного доступа по каналам связи:
- угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
- перехват за пределами контролируемой зоны;
- перехват в пределах контролируемой зоны внутренними нарушителями;
Перечни объектов воздействия угроз безопасности персональных данных в информационных системах персональных данных перечислены в таблице 6.
Таблица 6 - Перечень объектов воздействия угроз безопасности ПДн
Объекты воздействия
Информация, обрабатываемая на АРМ ИСПДн
Информация, обрабатываемая на серверах ИСПДн
Информация, содержащаяся на электронных и бумажных носителях
Информация, передаваемая по каналу связи (сети Internet)

Причинами возникновения уязвимостей являются:
- неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;
- несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
- внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;
- несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;
- сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).
Различают следующие группы основных уязвимостей:
- уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);
- уязвимости прикладного программного обеспечения (в том числе средств защиты информации).
Описание угроз приведено в таблице 7.Таблица 7 - Описание угроз
№ п/п Описание угрозы Источник угрозы Нарушаемые свойства (конфиденциальность - К; целостность - Ц; доступность - Д) Объекты воздействия Уязвимость
1 угроза утечки акустической информации, при её обработке оператором АРМ клиенты, операторы АРМ К Информация, обрабатываемая на АРМ ИСПДн; Информация, содержащаяся на электронных и бумажных носителях уязвимость средств ЗИ
2 угроза утечки видовой информации при её обработке оператором АРМ клиенты, операторы АРМ К Информация, обрабатываемая на АРМ ИСПДн; Информация, содержащаяся на электронных и бумажных носителях уязвимость средств ЗИ
3 угрозы утечки информации по каналам ПЭМИН, при её обработке оператором АРМ клиенты, операторы АРМ К Информация, обрабатываемая на АРМ ИСПДн; Информация, передаваемая по каналу связи (сети Internet) уязвимость системного ПО
4 кража носителей информации, при возникновении НСД в помещение с установленными АРМ операторов клиенты, операторы АРМ, обслуживающий персонал, администраторы К Информация, содержащаяся на электронных носителях уязвимость средств ЗИ
5 кража ключей и атрибутов доступа, при возникновении НСД в помещение с установленными АРМ операторов клиенты, операторы АРМ, обслуживающий персонал, администраторы К, Ц Информация, содержащаяся на электронных носителях уязвимость средств ЗИ
6 кражи, модификации, уничтожения информации, при возникновении НСД в помещение с установленными АРМ операторов клиенты, операторы АРМ, обслуживающий персонал, администраторы К, Ц Информация, содержащаяся на электронных и бумажных носителях уязвимость средств ЗИ
7 несанкционированное отключение средств защиты, при возникновении НСД в помещение с установленными серверами ИСПДн операторы АРМ, обслуживающий персонал, администраторы К, Ц Информация, обрабатываемая на серверах ИСПДн уязвимость средств ЗИ
8 действия вредоносных программ (вирусов), при возникновении НСД в помещение с установленными серверами ИСПДн операторы АРМ, обслуживающий персонал К, Ц, Д Информация, обрабатываемая на серверах ИСПДн уязвимость системного ПО, уязвимость средств ЗИ
9 утрата ключей и атрибутов доступа при халатном обращении с ними администраторы, операторы АРМ К, Ц Информация, содержащаяся на электронных носителях уязвимость средств ЗИ
10 непреднамеренная модификация (уничтожение) информации при халатном обращении с ними администраторы, операторы АРМ Ц, Д Информация, обрабатываемая на АРМ ИСПДн Информация, обрабатываемая на серверах ИСПДн Информация, содержащаяся на электронных и бумажных носителях уязвимость системного ПО
11 вывод из строя аппаратно-программных средств при халатном обращении с ними администраторы, операторы АРМ Ц, Д Информация, обрабатываемая на АРМ ИСПДн Информация, обрабатываемая на серверах ИСПДн Информация, содержащаяся на электронных и бумажных носителях уязвимость системного ПО, уязвимость средств ЗИ
12 сбой системы электроснабжения, вызванный халатностью муниципальных городских служб работники городских служб Д Информация, обрабатываемая на АРМ ИСПДн Информация, обрабатываемая на серверах ИСПДн Информация, содержащаяся на электронных и бумажных носителях уязвимость системного ПО, уязвимость средств ЗИ
13 стихийное бедствие (пожар, затопление) сотрудники и клиенты организаций соседних объектов инфраструктуры города Ц, Д Информация, обрабатываемая на АРМ ИСПДн Информация, обрабатываемая на серверах ИСПДн Информация, содержащаяся на электронных и бумажных носителях уязвимость системного ПО, уязвимость средств ЗИ
14 доступ к информации, модификация, уничтожение лиц, не допущенных к ее обработке (обслуживающего персонала) в корыстных целях обслуживающий персонал, администраторы К, Ц, Д Информация, обрабатываемая на АРМ ИСПДн Информация, обрабатываемая на серверах ИСПДн Информация, содержащаяся на электронных и бумажных носителях уязвимость средств ЗИ
15 разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке корыстных целях операторы АРМ К, Ц, Д Информация, обрабатываемая на АРМ ИСПДн Информация, обрабатываемая на серверах ИСПДн Информация, содержащаяся на электронных и бумажных носителях уязвимость средств ЗИ
16 перехват за переделами с контролируемой зоны сетевого трафика, циркулирующего в ИСПДн и передаваемого по сети Internet конкурирующие фирмы, финансовые мошенники К Информация, передаваемая по каналу связи (сети Internet) уязвимость средств ЗИ
17 перехват в пределах контролируемой зоны внутренними нарушителями сетевого трафика, циркулирующего в ИСПДн и передаваемого по сети Internet операторы АРМ, обслуживающий персонал, администраторы, клиенты К Информация, обрабатываемая на АРМ ИСПДн Информация, обрабатываемая на серверах ИСПДн Информация, содержащаяся на электронных и бумажных носителях уязвимость средств ЗИ

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Рекомендуемый подход к составлению перечня актуальных угроз состоит в следующем.
Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице. Цветом выделены пункты показателей защищённости, относящиеся к рассматриваемой ИСПДн. Для ИСПДн «Общедоступные ПДн сотрудников организации» показатели защищённости представлены в таблице 8а, Для ИСПДн «Общедоступные ПДн клиентов организации» показатели защищённости представлены в таблице 8б, Для ИСПДн «Иные ПДн сотрудников организации» показатели защищённости представлены в таблице 8в, Для ИСПДн «Иные ПДн клиентов организации» показатели защищённости представлены в таблице 8г
Таблица 8а - Показатели исходной защищённости ИСПДн «Общедоступные ПДн сотрудников организации»
Технические и эксплуатационные характеристики ИСПДн Уровень защищенности
Высокий Средний Низкий
1. По территориальному размещению: распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; - - +
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); - - +
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; - + -
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; - + -
локальная ИСПДн, развернутая в пределах одного здания + - -
2. По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования; - - +
ИСПДн, имеющая одноточечный выход в сеть общего пользования; - + -
ИСПДн, физически отделенная от сети общего пользования + - -
3. По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск; + - -
запись, удаление, сортировка; - + -
модификация, передача - - +
4. По разграничению доступа к персональным данным: ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; - + -
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; - - +
ИСПДн с открытым доступом - - +
5. По наличию соединений с другими базами ПДн иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); - - +
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн + - -
6. По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); + - -
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; - + -
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) - - +
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая всю базу данных с ПДн; - - +
ИСПДн, предоставляющая часть ПДн; - + -
ИСПДн, не предоставляющая никакой информации. + - -

Таблица 8б - Показатели исходной защищённости ИСПДн «Общедоступные ПДн клиентов организации»
Технические и эксплуатационные характеристики ИСПДн Уровень защищенности
Высокий Средний Низкий
1. По территориальному размещению: распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; - - +
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); - - +
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; - + -
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; - + -
локальная ИСПДн, развернутая в пределах одного здания + - -
2. По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования; - - +
ИСПДн, имеющая одноточечный выход в сеть общего пользования; - + -
ИСПДн, физически отделенная от сети общего пользования + - -
3. По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск; + - -
запись, удаление, сортировка; - + -
модификация, передача - - +
4. По разграничению доступа к персональным данным: ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; - + -
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; - - +
ИСПДн с открытым доступом - - +
5. По наличию соединений с другими базами ПДн иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); - - +
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн + - -
6. По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); + - -
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; - + -
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) - - +
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая всю базу данных с ПДн; - - +
ИСПДн, предоставляющая часть ПДн; - + -
ИСПДн, не предоставляющая никакой информации. + - -

Таблица 8в - Показатели исходной защищённости ИСПДн «Иные ПДн сотрудников организации»
Технические и эксплуатационные характеристики ИСПДн Уровень защищенности
Высокий Средний Низкий
1. По территориальному размещению: распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; - - +
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); - - +
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; - + -
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; - + -
локальная ИСПДн, развернутая в пределах одного здания + - -
2. По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования; - - +
ИСПДн, имеющая одноточечный выход в сеть общего пользования; - + -
ИСПДн, физически отделенная от сети общего пользования + - -
3. По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск; + - -
запись, удаление, сортировка; - + -
модификация, передача - - +
4. По разграничению доступа к персональным данным: ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; - + -
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; - - +
ИСПДн с открытым доступом - - +
5. По наличию соединений с другими базами ПДн........



Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть похожие работы

* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.